Liebe CISOs und Sicherheitsbeauftragte, Sie wissen es bereits: Heutzutage ist es beinahe fahrlässig, wenn Sie Ihr Unternehmen «ungeschützt» lassen. Es lauern viel zu viele Cyberkriminelle, die nur darauf warten, irgendwo eine Sicherheitslücke zu entdecken, um diese auszunutzen. Der Schaden, der bei einem Cyberangriff entsteht, kann enorme Folgen für Sie und Ihr Unternehmen haben. Daher ist es wichtig, mit entsprechenden Massnahmen zu reagieren, noch bevor Sie tatsächlich angegriffen werden. Eine wichtige Massnahme davon ist, alle Stakeholder mit ins Boot zu holen. Denn nur gemeinsam sind Sie sicher!
Irgendwann werden wir alle Opfer von Cyberkriminalität. Die Frage ist nämlich nicht, ob wir angegriffen werden, sondern wann wir angegriffen werden. Denn die Cyberkriminellen werden immer raffinierter. Die Techniken verändern sich und auch die Cyberkriminellen finden immer wieder neue Methoden, um Ihre Systeme und Mitarbeitenden auszutricksen. Wenn Sie jetzt nicht handeln, ist es nur eine Frage der Zeit, bis es zum Cyberangriff kommt, der Ihrem Unternehmen grossen Schaden zufügen kann. Deshalb ist es wichtig, jetzt schon Vorkehrungen zu treffen und Ihre Mitarbeitenden zu schulen. Dabei gibt es einiges zu bedenken, damit keine Eintagsfliege zum Leben erweckt wird. Eine Sicherheitskultur muss Ihre Unternehmenskultur ergänzen und Hand in Hand einhergehen.
Wir haben hier 7 Tipps für Sie zusammengestellt, auf welche Sie achten sollten, um eine Sicherheitskultur erfolgreich einzuführen:
Folgende «Zutaten» bilden die Grundlage einer Sicherheitskultur und der erfolgreichen Schulung der Mitarbeitenden:
1. Regelwerk: Es ist wichtig, dass ein Security Regelwerk (Security Policy Framework) besteht und die Vorgaben eingehalten bzw. umgesetzt werden. Sie müssen dafür sorgen, dass Sie und Ihre Mitarbeitenden Ihre Richtlinien verstehen und sich strikt daranhalten.
2. Prozesse: Es braucht Prozesse, damit die Mitarbeitenden wissen, wie sie richtig vorgehen, wie z. B. das Melden von Sicherheitsvorfällen oder die Bereinigung von Zutritts- und Zugriffsberechtigungen.
3. Werkzeuge und Hilfsmittel (Tools): Ihre Mitarbeitende sollten wissen, dass Sie z. B. mit der Anwendung eines Passwort-Managers bereits einen grossen Beitrag zur Sicherheit leisten können. Weiter sollten Sie dafür besorgt sein, z. B. Sichtschutzfilter (Privacy Filter) für die Notebooks für alle Mitarbeitenden zu beschaffen, die viel von unterwegs aus Arbeiten. Oder ein Tool, mit dem Mitarbeitende einfach eine Gefahr melden können.
Das sind einige Grundvoraussetzungen, die die Umsetzung von Security Awareness-Massnahmen erleichtern, um den Mitarbeitenden ihre Verantwortung zu zeigen sowie ihre Unterstützung zu gewinnen und somit erfolgreich Ihre Sicherheitskultur im Unternehmen zu stärken. Gibt es hier Schwachstellen, gibt es auch grosse Schwachstellen in Ihrer «Human Firewall», welche Sie schleunigst beheben sollten.
Auch im Bereich der Zielfindung und Umsetzung gibt es Punkte, auf die Sie als CISO oder Sicherheitsbeauftragte/r achten sollten.
4. Aufzeigen der Gefahren: Eindrücklich ist es, wenn den Mitarbeitenden die möglichen Gefahren aufgezeigt werden und sie so einerseits die Wichtigkeit dieses Themas erkennen und andererseits verstehen, was ihr Beitrag zum Schutz des Unternehmens ist. Vermitteln Sie mit Security Awareness-Kampagnen die Themen anschaulich und nachhaltig, sodass sie Bestandteil der täglichen Arbeit werden. Dabei darf nicht vergessen werden, dass Sicherheit ein fortlaufender Prozess ist, der kontinuierliche Aufmerksamkeit erfordert, damit eine nachhaltige Sicherheitskultur entsteht.
5. Planung mithilfe von Messung: Um eine nachhaltige Sicherheitskultur im Unternehmen zu etablieren, braucht es Zeit und eine mittelfristige Planung. Diese kann mit einer Messung, z. B. unserem Security Awareness Radar (SAR) oder dem Awareness Success Elevator (ASE), gemacht werden. So werden unbekannte Schwachstellen und Bedürfnisse aufgrund der Einschätzungen aller Mitarbeitenden in Ihrem Unternehmen ermittelt. Aufgrund der Ergebnisse können dann Strategien und Konzepte sowie eine Roadmap erstellt werden. Es ist zielführend, regelmässige Messungen durchzuführen, um Fortschritte, aber auch neue Bedürfnisse und Lücken zu erkennen.
Der Austausch mit Stakeholdern innerhalb Ihres Unternehmens ist ein wichtiger Bestandteil zur Etablierung einer Sicherheitskultur und Umsetzung von Massnahmen! Alle Stakeholder, insbesondere das Management sowie interne Fachstellen, müssen bei der Definition, Planung und Umsetzung der Massnahmen mit einbezogen werden und die Awareness-Massnahmen unterstützen.
6. Geschäftsleitung und Führungskräfte: Das Management muss einerseits die Bedrohungen für Ihr Unternehmen erkennen sowie den Nutzen von Schulungs- und Awareness-Massnahmen aller Mitarbeitenden verstehen. Andererseits müssen sie in ihren Bereichen dafür besorgt sein, dass alle Mitarbeitenden genügend Zeit für die geplanten Schulungsmassnahmen und Kampagnen aufwenden dürfen. Denn die Themen müssen immer wieder über verschiedene Kanäle vermittelt und so verankert werden.
Die Geschäftsleitung muss zudem die finanziellen und personellen Ressourcen genehmigen, damit entsprechende Schulungen und Massnahmen umgesetzt werden können.
7. Stakeholder aus den Fachbereichen: Um allen Aspekten gerecht zu werden, ist es wichtig, alle mit im Boot zu haben, wenn Kampagnen geplant werden. Eine optimale Abstimmung mit den Anforderungen der Fachabteilungen ist wichtig, um die nötige Unterstützung aller zu erhalten.
Wichtige Fachstellen sind hier die interne Kommunikation, die IT-Sicherheit, HR, sowie ggf. Legal und die Abteilung für Arbeitssicherheit und Safety.
… denn es ist noch nicht zu spät! Sie können jetzt reagieren und entsprechende Massnahmen einleiten, um die Sicherheitskultur in Ihrem Unternehmen zu stärken und damit Schaden abzuwenden. Damit aber wirklich alle an den gleichen Hebeln ziehen, müssen vor allem alle Stakeholder wissen, wo der Schuh drückt.
Mit TreeSolution Security Awareness AG haben Sie einen erfahrenen und kompetenten Partner an Ihrer Seite. Wir arbeiten von A bis Z eng mit Ihnen zusammen. Wir begleiten Sie, beraten Sie, tauschen uns mit Ihnen aus und geben Ihnen unser Know-how weiter. Mit einer Messung Ihrer Informationssicherheitskultur finden wir heraus, wo Sie den Hebel ansetzen müssen. Wir liefern Ihnen pfannenfertige und auf Sie und Ihr Unternehmen abgestimmte Schulungs- und Awareness-Massnahmen und unterstützen Sie bei der Umsetzung.
Egal wie gross Ihr Unternehmen ist und wie viel Zeit Sie bei der Umsetzung benötigen; mit unserem Awareness Club bieten wir Ihnen alles, was Sie für Sicherheits-Kampagnen und Messungen benötigen und vieles mehr. Sie bestimmen, wie viel oder wie wenig Unterstützung Sie brauchen. Mit uns haben Sie einen kompetenten und erfahrenen Partner an Ihrer Seite.
Gerne beantworten wir Ihnen in einem ersten persönlichen Gespräch Ihre Fragen. Wir sind gerne für Sie da!
Hier finden Sie eine Auflistung weiterführender Blogs über folgende Themen:
